Пользователей обяжут указывать IP- и МАС-адреса для доступа к онлайн-банкингу

[UriyZenkov]

На сайте Центробанка появился проект указания, согласно которому пользователи служб онлайн банкинга предварительно должны будут указывать свои IP- и МАС-адреса.


На сайте Центрального Банка Российской Федерации появился проект указания об изменениях в Положении от 2004 года «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

В этом проекте указания Банк России предлагает добавить несколько пунктов, согласно которым пользователь для получения доступа к системе онлайн-банкинга должен предварительно указать IP и МАС адреса, с которых будет осуществляться подключение к онлайн счету.

«Сведения об IP- и МАС-адресе (IP- и МАС-адресах), посредством которых юридическим лицом осуществляется доступ к банковскому счету, открытому в кредитной организации, с целью совершения операций по нему в рамках заключенного кредитной организацией с данным юридическим лицом договора, предусматривающего его обслуживание с использованием технологии дистанционного доступа к банковскому счету, включая интернет-банкинг», - сказано в проекте указания Центробанка. В документе приводятся аналогичные пункты, которые распространяются также на физических лиц и индивидуальных предпринимателей.

Таким образом, не совсем понятно, как именно идентификация пользователей интернет-банкинга будет проводиться по MAC-адресам сетевых устройств. Это будет возможно лишь путем установки на систему пользователя специального программного обеспечения, которое сможет определить MAC адрес системы, которая подключается к сайту банка, и передать эти данные. Учитывая тот факт, что MAC адрес сетевого устройства может быть изменен пользователем вручную, квалификация чиновников, разрабатывающих изменения законодательства, оставляет желать лучшего….

Подробнее: http://www.securitylab.ru/news/431264.php

[Bizdelnick]

Ссылка на первоисточник, которая http://cbr.ru/analytics/standart_acts/projects/121008_1.pdf, битая.
P. S. Документ в кеше гугла.

[drBatty]

а вот IP можно сохранить. У меня вот 127.0.0.1

[Brainsburn]

Как я понимаю, ip и mac будут дополнительными паролями при доступе к сайту. Другое дело, что чужой mac-адрес узнать не трудно и какой тогда от этого прок?
Про противодействие отмыванию доходов я вообще не понял, как это может помочь >.<

[Bizdelnick]

Как я понимаю, ip и mac будут дополнительными паролями при доступе к сайту.

"Для подтверждения личности введите свой MAC-адрес"?

[Ism]

Да уж , редкий бред, MAC адрес бессмысленно проверять так как на нескольких китайских сетевых картах он может быть одинаковым, а IP у очень многих динамический.
Они что, хотят подписывать документы каждый раз при смене IP ?

[Portnov]

Имхо, проверка IP может быть осмыслена для юр.лиц, из соображений безопасности. Для физ.лиц тоже осмыслена, но вызывает больше сложностей из-за многочисленных динамических адресов. Мак проверять слишком сложно. А вообще-то многие телебанки имеют возможность пускать клиента только с определённых адресов (в некоторых эти адреса вписывает в «личном кабинете» сам клиент, в других это должен сделать сотрудник банка).

[Ism]

А нормальные банки авторизуют через SMS

[Portnov]

Тоже вариант. Но мне бы, например, больше бы понравился вариант без смс, чтобы ип проверяло (у меня всё равно статический адрес, а принимать/удалять смс лень :))

[Bizdelnick]

IP слишком легко увести. Самый вменяемый способ - авторизация по сертификату. Но для хомячков это слишком сложно, они предпочитают 100500 раз вбить пароль из смски. А поскольку у нас всё для хомячков...

[Ism]

Есть еще Рутокен PINPad , не знаю насколько надежно но идея интересная

http://pinpad.rutoken.ru/

[Bizdelnick]

Это вот этот кирпичик - интересная идея? Ну-ну.

[Ism]

Если завязать все на железяку , которую понимает только определенный софт, то это понадежней IP будет

[Bizdelnick]

Если завязать все на железяку , которую понимает только определенный софт

который совместим только с определённой ОС и стоит определённых денег, не говоря уже о самой железяке.

[Maximus_V]

Не совсем в тему, просто в юмор.
Попытался за новый жесткий диск расплатиться банковской картой Mastercard - было отказано в платеже, а в онлайн-банкинге видно, что покупка состоялась, и тут же был возврат денег. Позвонил на горячую линию со своей проблемой - а мне и говорят, что это не моя, это ВСЕМИРНАЯ проблема. По-моему, такое только в юмор...

[Portnov]

Ну, всякие разные ошибки при проведении банковских транзакций, в том числе и идиотские, в том числе и ввиду человеческого фактора — это, действительно, всемирная проблема, не больше не меньше :)

[richprog]

Каждому юрлицу по статическому ip с занесением на лоб директору + пошлина в 100500 тыс.рублей за выдачу или замену. И бюджет пополнится, и безопасность возрастет. Распил откат и все довольны
И причем тут MAC если он только до первого маршрутизатора виден. Или от банка к каждому клиенту отдельный кабель тянуть будут ?

[SLEDopit]

И причем тут MAC если он только до первого маршрутизатора виден.

Увы, не все об этом знают. Удивительно, что они вообще знают про mac адреса (:

[Bluetooth]

Про противодействие отмыванию доходов я вообще не понял, как это может помочь >.<

Если у тебя 50 счетов на разные организации на одном маке, и одну из них заподозрили в этом, то типа берут мак и начинают шмонать остальные 50 юрлиц. Ну, разумеется, это так выглядит в тупом мозгу чинуш, а не в реальности.

IP слишком легко увести. Самый вменяемый способ - авторизация по сертификату. Но для хомячков это слишком сложно, они предпочитают 100500 раз вбить пароль из смски. А поскольку у нас всё для хомячков...

Если что, банки не только для хомячков работают. И, кстати, сбербанк и еще несколько банков недавно ввели для юрлиц дополнительную защиту помимо сертификата - привязку к ip или смс-пароли. Причем обязательно нужно одно из двух выбрать.

[Bizdelnick]

Если что, банки не только для хомячков работают.

Работают, может, и не только для хомячков, по только под хомячков подстраиваются.

сбербанк и еще несколько банков недавно ввели для юрлиц

Только для юрлиц, и только недавно? В который раз радуюсь, что я не клиент сбера.

[Bluetooth]

Если что, банки не только для хомячков работают.

Работают, может, и не только для хомячков, по только под хомячков подстраиваются.

Ну, это если речь о физиках идет, то да. Но я к тому вел, что они еще и для юриков работают, а там уже приоритеты другие(впрочем, легче не становится).

Только для юрлиц, и только недавно? В который раз радуюсь, что я не клиент сбера.

Я тоже радуюсь А вот клиенты сбера чет не радуются. Да и я не радуюсь, когда что-то ломается.

[serzh-z]

А нормальные банки авторизуют через SMS

Нормальные банки используют двухфакторную авторизацию (TFA). Но вот только в качестве второго фактора используют какой-нибудь генератор токенов, а отнюдь не IP/MAC.

В который раз радуюсь, что я не клиент сбера.

Странно, но почему-то не припоминаю людей, даже клиентов СБ, которые бы отзывались о нём положительно. В лучшем случае - тяжело вздыхают.